どのようなセキュリティを使っていればいいForgottonパスワードの能力が当サイト?AES?

Question

残念ながら、私たちに提供することを希望されユーザーとして取得するための機能メール送付登録アカウントパスワードの..いを忘れたパスワードになります。

"ここをクリックをお忘れの場合は、パスワード"

いことがあるメッセージを復号することができ、パスワードになります。それにしても不愉快な話だが、それが条件です。私は使用される塩、ハッシュパスワードとSHA1.その後の保管、塩のハッシュされたパスワードのリポジトリ

いかにやるべきことだと思いる場合、パスワードで暗号解読が行われます。あるいは以下と同じものを使えばいいか迷っていAESょうか？

いものヘルプが、好ましくは、コードサンプルです。して順調なものではなかった。

感謝！

注意：ないでください、このスレッドについてハッシュvs復号化対OpenAuth.

Answer 1

できる次のいずれかの操作を行います:

1. 変更のユーザーのパスワードを一時的にメールのユーザーに新しいパスワードは、必要な変更は、次にログインできます。
2. い機能性と、パスワードをリセットできます。でも最初のオプションで必要なものを作るにはトークンを送ることがユーザーに対してリンクを張ります。
3. だって本当に必要な暗号化、パスワードを送信し、ユーザー以上の平文、それに必要なものを見つい暗号化方式を保護するパスワードが彼らのデータベースです。きを簡単に作成することができ、ランダムキーまたはさらに重要な使用 Rfc2898DeriveBytes とを利用することができAES合わせ HMAC （検証）の暗号化、パスワードになります。おのアプリケーションのニーズを意識してこのキーメッセージを復号することができ、データセキュリティのリスクです。あきこのキーにします。設定ファイルまたは類似した内容をすべきではないアクセス、外部から守っていこうというもので使用 DPAPI または RSAKeyContainer.

ればオプション1または2にする必要がなくなり、より快適なるメッセージを復号することができ、パスワードできますので使用のハッシュ+塩としては、最も安全な方法により行う。

Answer 2

パスワードが暗号化されずにインターネット上を移動することを考えると、高セキュリティの暗号化はそれほど重要ではない可能性があります。ただし、いずれの場合もAESで十分です。

それでも質問したい-ユーザーが電子メールでパスワードを受け取るのではなく、パスワードをリセットできるようにするオプションがテーブルにありましたか？